Q4 — AWS ANS-C01 第1章
第 4/100 問 | ← 第1章
ネットワークエンジニアは、AWSサービスとのプライベート通信のためのインターフェイスVPCエンドポイントを集中管理・標準化する方法を確立する必要があります。企業は、ハブアンドスポークモデルを用いてAWSアカウント間のVPC接続にAWS Transit Gatewayを利用しています。 企業のネットワークサービスチームは、共有サービスAWSアカウント内で、すべてのAmazon Route 53ゾーンおよびインターフェイスエンドポイントを管理する必要があります。 企業は、この集中型モデルを活用して、AWS Key Management Service(AWS KMS)へのアクセスをAWSリソースに提供したいと考えており、パブリックインターネットを経由しないようにしたいです。 これらの要件を満たすために、ネットワークエンジニアは何を行うべきですか?
- A. 共有サービスアカウントでAWS KMS向けのインターフェイスエンドポイントを作成します。インターフェイスエンドポイントのプライベートDNS名を無効化します。共有サービスアカウントにプライベートホステッドゾーンを作成し、そのエイリアスレコードをインターフェイスエンドポイントを指すように設定します。各AWSアカウントのスポークVPCとプライベートホステッドゾーンを関連付けます。 ✓
- B. 共有サービスアカウントでAWS KMS向けのインターフェイスエンドポイントを作成します。インターフェイスエンドポイントのプライベートDNS名を無効化します。各スポークAWSアカウントにプライベートホステッドゾーンを作成し、そのエイリアスレコードをインターフェイスエンドポイントを指すように設定します。各プライベートホステッドゾーンを共有サービスAWSアカウントと関連付けます。
- C. 各スポークAWSアカウントでAWS KMS向けのインターフェイスエンドポイントを作成します。各インターフェイスエンドポイントのプライベートDNS名を無効化します。各スポークAWSアカウントにプライベートホステッドゾーンを作成し、そのエイリアスレコードを各インターフェイスエンドポイントを指すように設定します。各プライベートホステッドゾーンを共有サービスAWSアカウントと関連付けます。
- D. 各スポークAWSアカウントでAWS KMS向けのインターフェイスエンドポイントを作成します。各インターフェイスエンドポイントのプライベートDNS名を無効化します。共有サービスアカウントにプライベートホステッドゾーンを作成し、そのエイリアスレコードを各インターフェイスエンドポイントを指すように設定します。各AWSアカウントのスポークVPCとプライベートホステッドゾーンを関連付けます。
正解: A. 共有サービスアカウントでAWS KMS向けのインターフェイスエンドポイントを作成します。インターフェイスエンドポイントのプライベートDNS名を無効化します。共有サービスアカウントにプライベートホステッドゾーンを作成し、そのエイリアスレコードをインターフェイスエンドポイントを指すように設定します。各AWSアカウントのスポークVPCとプライベートホステッドゾーンを関連付けます。
解説
企業が集中型モデルを用いてAWSリソースにAWS Key Management Service(AWS KMS)へのアクセスを提供し、パブリックインターネットを経由しないようにするためには、以下の手順を実施する必要があります。